Linux

ネットワーク管理では、DNSサービスの管理は基本的な作業です。ユーザーのサイズが大きくなるにつれて、DNSゾーンデータベースファイルを頻繁に手動で変更するのは簡単な作業ではありません。動的DNS（DDNS）に関する研究は徐々に人々の注目を集めており、さまざまなプラットフォームが独自のソリューションを立ち上げています。この記事では、Linux環境でのDDNSソリューション、つまりインターネットソフトウェアコンソーシアム（ISC）によって開発されたBIND-DNSとDHCP（動的ホスト構成プロトコル）が協調してDDNS方式を実装する方法について詳しく説明します。

Linuxで動的DNSを実装するには、Bind 8以上のDNSソフトウェアだけでなく、DHCP Server v3.0以上のバージョンも必要です。これは、3.0以上のバージョンのみがDDNSサポートを完全に実装しているためです。したがって、このホワイトペーパーの実装環境では、DNSサービスとDHCPサービスの両方を実行するDDNSサーバーとしてSlackware Linux 9.0を使用し、DNSサーバーはBind 9.2.2を使用し、DHCPサーバーはDHCP Server v3.0pl2を使用します。

以下は、Linux環境における安全で動的なDNSの実装の詳細な紹介です。

キーの作成

動的DNS更新を実現するために最初に考慮すべきことは、DDNSが安全に実装されていることを確認する方法です。 ISCが提供する方法は、動的更新用のキーを作成することです。これは、更新が行われたときにキーによって検証されます。これを行うには、rootとして次のコマンドを実行する必要があります。

root @ slack9：/etc＃dnssec-keygen -a HMAC-MD5 -b 128 -n USER myddns

Kmyddns。 + 157 + 37662

上記のdnssec-keygenコマンドの機能は更新キーを生成することです。ここで、パラメーター-a HMAC-MD5はキー生成アルゴリズムがHMAC-MD5を使用することを意味し、パラメーター-b 128はキーを参照します。ビット数は128ビットで、パラメーター-n USER myddnsはキーのユーザーがmyddnsであることを意味します。

このコマンドによって生成されるキーファイルのペアは次のとおりです。

-rw ------- 1ルートルート48 Jan 14 18:26 Kmyddns。+ 157 + 37662.key < Br>

-rw ------- 1ルートルート81 Jan 14 18:26 Kmyddns。+ 157 + 37662.private

新しく生成されたキーファイルの内容を表示できます。

root @ slack9：/etc＃cat Kmyddns + 157 + 37662.key

myddns.INKEY02157 4gEF1Mkmn5hrlwYUeGJV3g ==

root @ slack9：/etc＃cat Kmyddns + 157 + 37662.private

秘密鍵のフォーマット：v1.2

アルゴリズム：157（HMAC_MD5）

キー：4gEF1Mkmn5hrlwYUeGJV3g ==

これをよく読むキーファイルは、2つのファイルに含まれるキーが同じであることを検出します。これは、DNSが動的かつ動的に更新されるときのDHCPの資格情報です。このキーはそれぞれDNSとDHCPの設定ファイルに追加する必要があります。

DNSメイン設定ファイルを変更する

キーが生成されたら、/etc /named.confファイルを編集して変更する必要があります主な目的は、DNSメイン設定にキー情報を追加することです。ファイル内。この記事では、変更された/etc/named.confの例を示します。

options {directory&var /named"; file：//データベースファイルが格納されるディレクトリを指定します}; zone" "IN {typeヒントファイル" caching-example /named.ca ";}; zone" localhost "IN {typeマスタ;ファイル" caching-example /localhost.zone "; allow-update {none;};;}; zone "0.0.127.in-addr.arpa" IN {type master; file "caching-example /named.local"; allow-update {none;};}; key myddns {algorithm HMAC-MD5 .SIG-ALG.REG.INT; file：//は、キーシークレットを生成するためのアルゴリズムを示す4gEF1Mkmn5hrlwYUeGJV3g ==; file：//キーを指定する}; zone" tcbuu.cn" IN {type master; file" tcbuu> Cn"; file：//前方領域ファイル名tcbuu.cn、ファイルはallow-update {key myddns;}を使用します; file：//はキーmyddnsの使用を示しますキーであるユーザは、領域＜１．２２．１０．ｉｎ．ａｄｄｒ．ａｒｐａ” ＩＮ ｛タイプマスタ；ファイル” ｔｃｂｕｕ．ｃｎ．ａｒｐａ ；／／ ｒｅｖｅｒｓｅ”を動的に更新することができる。ゾーンファイル名tcbuu.cn allow-update {key myddns;}; file：//キーmyddnsをキーとして使用しているユーザーがゾーンを動的に更新できることを示します。<1.22.10.in-addr.arpa<};
動的更新を許可する領域にallow-update {key myddns;}コマンドを追加することで動的更新を実装することができ、key myddnsエンティティのみを持つことができます。この実装では、エンティティは、ゾーンに対する安全な動的更新を実現するための同じキーを持つDHCPサーバです。この方法は、IPアドレスを制限するだけの元の方法よりもはるかに安全です。

DNSサーバーの設定が完了したら、＃namedを実行してDNSサービスを実行できます。
zh-CN"],null,[1],zh-TW"]]]